• <th id="s3h9u"><sup id="s3h9u"><span id="s3h9u"></span></sup></th>
        <thead id="s3h9u"></thead>
                <th id="s3h9u"></th>
                <code id="s3h9u"></code>
                <thead id="s3h9u"></thead>
                歡迎訪問 智家網
                松下智能家居
                當前位置: 智能家居 > 智能家居網資訊 > 行業新聞 > 智能門鈴成“偷聽設備”?上海市消保委發布智能家居“黑客攻擊”測試報告

                智能門鈴成“偷聽設備”?上海市消保委發布智能家居“黑客攻擊”測試報告

                2022-03-15 15:52:17

                來源:上觀新聞

                發布者:智家網

                收藏本信息

                共閱

                  近年來,智能家居技術和產業鏈快速發展,應用場景持續豐富,給家庭生活帶來極大地便利性和舒適性。隨之而來的有關智能家居設備的安全性也逐漸受到消費者的關注。一方面,智能家居設備從傳統的接觸式操控變為遠程網絡操控后,網絡安全威脅提升。攻擊者可以通過網絡遠程攻擊,繼而入侵和操控智能家居設備,不僅帶給消費者使用困擾,甚至可能帶來生命財產安全風險。另一方面,智能家居設備與云端、其它智能設備、消費者之間都在頻繁交互,采集并儲存了大量消費者信息,信息泄露風險提升。這些信息不乏一些涉及消費者的重要隱私,容易成為攻擊者竊取的目標。

                  2021年11月至2022年2月,上海市消保委聯合第三方專業機構開展了智能家居設備安全性能測試。我們在各主流電商平臺上選取了6款搜索排名靠前的智能門鈴和門禁產品,并對以下功能進行測試。

                  測試結果顯示:  

                  主要安全漏洞如下:

                  一、攻擊者可以通過抓包軟件繞過認證,獲取服務端或客戶端的大量信息。消費者個人信息遭到泄露。

                  如我們發現d品牌、f品牌等存在認證繞過漏洞,攻擊者可以將提交到服務端的驗證數據包進行抓取,然后對其暴力破解,就能繞開認證并查看到服務端存儲的大量用戶信息,也可以在客戶端進行抓包并修改回應包,看到用戶個人信息。

                  d品牌漏洞測試詳情:打開抓包軟件,即可看到用戶手機號,姓名,年齡,公司住址等信息。

                  f品牌漏洞測試詳情:登錄小程序,抓取設備界面數據包,發現有一個未加密顯示手機號的數據包。通過修改手機號,可越權查看他人所擁有的設備?! ?/p>

                  二、攻擊者可以通過簡單粗暴的“抓包”加暴力破解弱密碼,利用漏洞組合獲取用戶的賬號和密碼,登錄后獲得他人攝像頭、麥克風等權限,可以自由調取錄像,甚至聽取房間家庭成員間的交談。消費者的隱私難以保障。

                  如我們測試b品牌時,攻擊者先通過“抓包”,挖掘出用戶手機號碼。如果該用戶密碼設置過于簡單,比如默認密碼或是簡單的數字密碼,攻擊者繼而暴力破解,對密碼逐個推算,反復試錯,得到相應的密碼,登錄后竊取用戶隱私。

                  b品牌漏洞測試詳情:進入平臺社區交流界面,可看到經過*號處理過的手機號,抓包查看返回包,即可得到該用戶手機號碼。

                  再暴力破解獲得弱密碼,成功登陸,并可以查看相關重要信息?! ?/p>

                  三、攻擊者可以利用應用程序傳參驗證過濾不嚴,在后臺不知情的條件下實現非法授權和操作,導致攻擊者構造的數據庫代碼被后臺執行。攻擊者可以未經授權訪問數據庫,結合其他漏洞實現遠程開電子門鎖等功能,消費者居家安全面臨風險。

                  如我們發現d品牌設備的管理后臺存在3處該漏洞。同時,該設備的開門小程序也存在缺陷,簡單重復此開門包,攻擊者就能實現遠程任意開門。

                  d品牌漏洞測試詳情:

                  第一處:通過ascii來爆破數據庫用戶的第一個字符?! ?/p>

                  漏洞參數是login_account。

                  第二處:使用user()可直接獲取數據庫用戶名。

                  第三處:嘗試使用相關工具可直接注入出目標數據庫的所有消息?! ?/p>

                  此外,這些設備還存在中間人攻擊、存儲型xss、文件上傳等漏洞,而且不少產品屬于相同設備代工生產,同質化情況較為嚴重。

                  雖然本次模擬黑客攻擊的測試針對的是智能門鈴和智能門禁類產品,但智能化家電家居設備在底層技術、通用硬件、數據后臺等方面有高度的類同性。專家組判斷,市場上相當比例的智能家居產品信息安全水平普遍較低,對于消費者隱私存著較大風險。

                  下一步,上海市消保委將持續關注智能家居安全性能,并建議:一是消費者盡量選購大品牌智能家居產品,盡量選購具有輸入錯誤報警和防破壞報警功能的產品,日常使用過程中提高數字密碼安全系數,并樹立網絡安全防范意識,及時更新系統、升級固件;二是智能家居廠商要不斷提升終端設備安全性能等級,同時加強云端數據安全管理,把重心從營銷轉移到技術研發上;三是相關部門要盡快開展智能家居產品安全性能調研,排摸相關風險,針對技術、系統漏洞帶來的危害和風險出臺相關的安全標準和規范。

                免責聲明:凡本網注明“來源:XXX(非本網)”的作品均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責。如稿件版權單位或個人不想在本網發布,可與本網聯系,本網視情況可立即將其撤除。

                為您精選推薦更多加盟好項目

                本周已有 568 人提交加盟信息

                4687 優質品牌商

                88670 精準加盟商

                快速獲取熱門加盟項目

                智家網客服中心竭誠為您服務

                官方客服電話:0371-55283600

                官方客服QQ:2248064978 官方客服QQ

                王經理:185-2907-0660(手機/微信) 加我好友

                盛經理:177-9776-8073(手機/微信) 加我好友

                毛經理:173-2940-7729(手機/微信) 加我好友

                劉經理:173-2940-3639(手機/微信) 加我好友

                趙經理:185-2907-7980(手機/微信) 加我好友

                賀經理:181-3777-8751(手機/微信) 加我好友

                王經理:181-3713-5926(手機/微信) 加我好友

                廣東智能家居群 加我好友

                特別提示:多留言、多打電話、多咨詢、實地考察,可降低投資風險。

                掃一掃:關注我們

                幫助中心 | 廣告服務 | 關于我們| 聯系我們| 版權信息| 營業執照| 隱私保護| 使用協議| 網站地圖| 智家網移動站| 智能家居網| 在線問答

                中華人民共和國電信與信息服務業務經營許可證: 豫ICP備15030198號-5 鄭州智能家網絡科技有限公司版權所有

                智家網【www.i-driveorlando.com】,是智能家居、智能家居控制系統信息在線展示平臺,對具體交易過程不參與也不承擔任何責任,望供求雙方謹慎交易。

                國家高新技術企業

                中原股權交易中心

                誠信龍頭單位

                銀盾誠信

                中文網站

                加盟網站

                知識產權管理認證

                簡單一步獲取財富機遇,搶占商機!關閉

                姓名:

                手機:

                五月天堂激激

              1. <th id="s3h9u"><sup id="s3h9u"><span id="s3h9u"></span></sup></th>
                    <thead id="s3h9u"></thead>
                            <th id="s3h9u"></th>
                            <code id="s3h9u"></code>
                            <thead id="s3h9u"></thead>